Überblick über die Virtual Network-Unterstützung für Power Platform
Mit der Azure Virtual Network-Unterstützung für Power Platform können Sie Power Platform in Ressourcen in Ihrem virtuellen Netzwerk integrieren, wobei diese nicht über das öffentliche Internet verfügbar gemacht werden müssen. Die Virtual Network-Unterstützung nutzt die Azure-Subnetzdelegierung, um den ausgehenden Datenverkehr zur Runtime von Power Platform zu verwalten. Durch die Verwendung der Azure-Subnetzdelegierung wird vermieden, dass geschützte Ressourcen über das Internet für die Integration mit Power Platform verfügbar sein müssen. Dank der Virtual Network-Unterstützung können Power Platform-Komponenten Ressourcen Ihres Unternehmens innerhalb Ihres Netzwerks aufrufen, unabhängig davon, ob sie in Azure oder lokal gehostet werden, und Plug-Ins und Connectors (Vorschauversion) für ausgehende Anrufe verwenden.
Über öffentliche Netzwerke lässt sich für gewöhnlich eine Integration von Power Platform mit Unternehmensressourcen herstellen. Bei öffentlichen Netzwerken muss über eine Liste von Azure-IP-Bereichen oder Diensttags, die öffentliche IP-Adressen beschreiben, auf Unternehmensressourcen zugegriffen werden können. Die Azure Virtual Network-Unterstützung für Power Platform ermöglicht Ihnen jedoch die Verwendung eines privaten Netzwerks und weiterhin die Integration mit Cloud-Diensten oder Diensten, die in Ihrem Unternehmensnetzwerk gehostet werden.
Azure-Dienste werden innerhalb eines virtuellen Netzwerks durch private Endpunkte geschützt. Sie können Express Route verwenden, um Ihre lokalen Ressourcen in das virtuelle Netzwerk zu bringen.
Power Platform verwendet das virtuelle Netzwerk und Subnetze, die Sie delegieren, um ausgehende Aufrufe an Unternehmensressourcen über das private Unternehmensnetzwerk zu tätigen. Durch die Verwendung eines privaten Netzwerks muss der ausgehende Datenverkehr nicht über das öffentliche Internet erfolgen, was die Ressourcen des Unternehmens gefährden könnte.
In einem virtuellen Netzwerk haben Sie die volle Kontrolle über den ausgehenden Datenverkehr von Power Platform. Für den Datenverkehr gelten die Netzwerkrichtlinien Ihrer Netzwerksadministrierenden. Das folgende Diagramm zeigt, wie Ressourcen in Ihrem Netzwerk mit einem virtuellen Netzwerk interagieren.
Vorteile der Unterstützung für Virtual Network
Mit der Unterstützung von Virtual Network profitieren Ihre Power Platform- und Dataverse-Komponenten von allen Vorteilen, die die Azure-Subnetzdelegierung bietet, wie z. B.:
Datenschutz: Virtual Network erlaubt den Power Platform-Diensten, eine Verbindung zu Ihren privaten und geschützten Ressourcen herzustellen, ohne dass diese dem Internet ausgesetzt werden müssen.
Kein unbefugter Zugriff: Virtual Network stellt eine Verbindung zu Ihren Ressourcen her und benötigt dafür keine Power Platform-IP-Bereiche oder Diensttags in der Verbindung.
Unterstützte Szenarien
Power Platform unterstützt Virtual Network sowohl für Dataverse-Plug-Ins als auch für Connectors (Vorschauversion). damit Sie eine sichere, private, ausgehende Konnektivität zwischen Power Platform und Ressourcen in Ihrem virtuellen Netzwerk nutzen können. Dataverse-Plug-Ins und -Connectors (Vorschauversion) verbessern die Sicherheit der Datenintegration durch Verbindung mit externen Datenquellen aus Power Apps, Power Automate und Dynamics 365-Apps. So können Sie beispielsweise Folgendes ausführen:
- Verwenden Sie Dataverse-Plug-Ins , um eine Verbindung zu Ihren Cloud-Datenquellen wie Azure SQL, Azure Storage, Blob Storage oder Azure Key Vault herzustellen. Sie können Ihre Daten vor Datenexfiltration und anderen Vorfällen schützen.
- Verwenden Sie Dataverse-Plug-Ins, um eine sichere Verbindung zu privaten, endpunktgeschützten Ressourcen in Azure herzustellen, etwa zur Web-API oder zu anderen Ressourcen innerhalb Ihres privaten Netzwerks wie SQL und Web-API. Sie können Ihre Daten vor Datenschutzverletzungen und anderen externen Bedrohungen schützen.
- Verwenden Sie von Virtual Network unterstützte Connectors (Vorschauversion) wie SQL Server (Vorschauversion), um eine sichere Verbindung zu Ihren in der Cloud gehosteten Datenquellen wie Azure SQL oder SQL Server herzustellen, ohne sie dem Internet auszusetzen. Ebenso können Sie den Azure Queue-Connector (Vorschauversion) verwenden, um sichere Verbindungen zu privaten, endpunktfähigen Azure Queues herzustellen.
- Verwenden Sie den Azure Key Vault-Connector (Vorschauversion), um eine sichere Verbindung zu einem privaten, endpunktgeschützten Azure Key Vault herzustellen.
- Verwenden Sie HTTP mit Microsoft Entra ID (Vorschauversion), um eine sichere Verbindung zur Dienstauthentifizierung per Microsoft Entra ID herzustellen.
- Verwenden Sie benutzerdefinierte Connectors (Vorschauversion), um eine sichere Verbindung zu Ihren Diensten, die durch private Endpunkte in Azure geschützt sind, oder zu in Ihrem privaten Netzwerk gehosteten Diensten herzustellen.
- Verwenden Sie Azure-Dateispeicher (Vorschau), um eine sichere Verbindung mit privatem, Endpunkt-fähigem Azure-Dateispeicher herzustellen.
Einschränkungen
- Dataverse-Low-Code-Plug-Ins, die Konnektoren verwenden, werden erst unterstützt, wenn diese Konnektortypen für die Verwendung der Subnetzdelegierung aktualisiert werden.
- Sie verwenden Kopier-, Sicherungs- und Wiederherstellungsvorgänge im Lebenszyklus der Umgebung in Umgebungen, die durch virtuelle Netzwerke in Power Platform unterstützt werden. Der Wiederherstellungsvorgang kann sowohl innerhalb desselben virtuellen Netzwerks als auch in verschiedenen Umgebungen durchgeführt werden, sofern diese mit demselben virtuellen Netzwerk verbunden sind. Darüber hinaus ist der Wiederherstellungsvorgang aus Umgebungen, die virtuelle Netzwerke nicht unterstützen, in Umgebungen mit solcher Unterstützung zulässig.
Unterstützte Regionen
Stellen Sie sicher, dass sich Ihre Power Platform-Umgebung und Ihre Unternehmensrichtlinie in unterstützten Power Platform- und Azure-Regionen befinden. Wenn sich Ihre Power Platform-Umgebung beispielsweise in den Vereinigten Staaten befindet, müssen sich Ihr virtuelles Netzwerk, Ihre Subnetze und Ihre Unternehmensrichtlinie in der Azure-Region eastus oder westus befinden.
| Power Platform-Region | Azure-Region |
|---|---|
| USA | eastus, westus |
| Südafrika | eouthafricanorth, southafricawest |
| UK | uksouth, ukwest |
| Japan | japaneast, japanwest |
| Indien | centralindia, southindia |
| Frankreich | francecentral, francesouth |
| Europa | westeurope, northeurope |
| Deutschland | germanynorth, germanywestcentral |
| Schweiz | switzerlandnorth, switzerlandwest |
| Kanada | canadacentral, canadaeast |
| Brasilien | brazilsouth, southcentralus |
| Australien | australiasoutheast, australiaeast |
| Asien | eastasia, southeastasia |
| VAE | uaecentral, uaenorth |
| Südkorea | koreasouth, koreacentral |
| Norrwegen | norwaywest, norwayeast |
| Singapur | southeastasia |
| Schweden | swedencentral |
Unterstützte Dienste
In der folgenden Tabelle sind die Dienste aufgeführt, die die Azure-Subnetzdelegierung für die Unterstützung von Virtual Network für Power Platform unterstützen.
| Region | Power Platform-Services | Verfügbarkeit der Unterstützung von Virtual Network |
|---|---|---|
| Dataverse | Dataverse-Plug-Ins | Allgemein verfügbar |
| Konnektoren | Produktionsfertige Vorschauen |
Wichtig
- Dies ist eine einsatzbereite Previewfunktion.
- Für einsatzbereite Vorschauversionen gelten ergänzende Nutzungsbedingungen. Weitere Informationen: Ergänzende Nutzungsbedingungen für Dynamics 365
Lizenzanforderungen
Die Unterstützung virtueller Netzwerke für Power Platform wird nur in Umgebungen erzwungen, die für verwaltete Umgebungen aktiviert sind. Verwaltete Umgebungen sind als Berechtigung in eigenständigen Power Apps-, Power Automate-, Microsoft Copilot Studio-, Power Pages-Versionen sowie Dynamics 365-Lizenzen enthalten, die Premium-Nutzungsrechte gewähren. Weitere Informationen über die Lizenzierung für verwaltete Umgebungen, mit der Lizenzübersicht für Microsoft Power Platform.
Darüber hinaus benötigen Benutzende für den Zugriff auf die Verwendung der Unterstützung virtueller Netzwerke für Power Platform in den Umgebungen, in denen das virtuelle Netzwerk aktiviert ist, eines der folgenden Abonnements:
- Microsoft 365 oder Office 365 A5/E5/G5
- Microsoft 365 A5/E5/F5/G5 Compliance
- Microsoft 365 F5 Security & Compliance
- Microsoft 365 A5/E5/F5/G5 Informationsschutz und Governance
- Microsoft 365 A5/E5/F5/G5 Insider-Risikomanagement
Weitere Informationen zu diesen Lizenzen
Überlegungen zur Aktivierung der Unterstützung virtueller Netzwerke für die Power Platform-Umgebung
Wenn Sie die Unterstützung von Virtual Network in einer Power Platform-Umgebung aktivieren, führen alle unterstützten Dienste, wie z. B. Dataverse-Plug-Ins und -Connectors (Vorschauversion), Anforderungen zur Laufzeit in Ihrem delegierten Subnetz aus. Diese unterliegen Ihren Netzwerkrichtlinien. Die Aufrufe zu öffentlich zugänglichen Ressourcen würden anfangen zu scheitern.
Wichtig
Bevor Sie die Unterstützung für virtuelle Umgebungen für die Power Platform-Umgebung aktivieren, überprüfen Sie unbedingt den Code der Plug-Ins und Connectors (Vorschauversion). Die URLs und Verbindungen müssen aktualisiert werden, um mit der privaten Konnektivität zu funktionieren.
Beispielsweise könnte ein Plug-In versuchen, eine Verbindung zu einem öffentlich verfügbaren Dienst herzustellen, Ihre Netzwerkrichtlinie aber keinen öffentlichen Internetzugang innerhalb Ihres virtuellen Netzwerks erlauben. Der Aufruf vom Plug-In wird gemäß Ihrer Netzwerkrichtlinie blockiert. Um den blockierten Anruf zu vermeiden, können Sie den öffentlich verfügbaren Dienst in Ihrem virtuellen Netzwerk hosten. Alternativ können Sie, wenn Ihr Dienst in Azure gehostet wird, einen privaten Endpunkt für den Dienst aktivieren, bevor Sie die Unterstützung Ihres virtuellen Netzwerks in der Power Platform-Umgebung aktivieren.
Häufig gestellte Fragen
Was ist der Unterschied zwischen einem virtuelle Netzwerkdatengateway und der Unterstützung von Azure Virtual Network für Power Platform?
Ein virtuelles Netzwerkdatengateway ist ein verwaltetes Gateway, das Ihnen den Zugriff auf Azure- und Power Platform-Dienste innerhalb Ihres virtuellen Netzwerks ohne Einrichtung eines lokalen Datengateways ermöglicht. Beispielsweise ist das Gateway für ETL-Workloads (Extrahieren, Transformieren, Laden) in Power BI- und Power Platform-Dataflows optimiert.
Die Unterstützung für Azure Virtual Network für Power Platform verwendet eine Azure-Subnetzdelegierung für Ihre Power Platform-Umgebung. Subnetze werden von Workloads innerhalb der Power Platform-Umgebung verwendet. Power Platform-API-Workloads nutzen die Unterstützung virtueller Netzwerke, da die Anforderungen nur von kurzer Dauer sind und für eine große Anzahl von Anforderungen optimiert sind.
In welchen Szenarien sollte ich die virtuelle Netzwerkunterstützung für Power Platform und das virtuelle Netzwerk-Datengateway verwenden?
Die Unterstützung virtueller Netzwerke für Power Platform ist die einzige unterstützte Option für alle Szenarios für ausgehende Konnektivität von Power Platform, mit Ausnahme von Power BI und Power Platform-Dataflows.
Power BI und Power Platform-Dataflows verwenden weiterhin das virtuelle Netzwerk(vNet)-Datengateway.
Wie können Sie sicherstellen, dass ein virtuelles Netzwerksubnetz oder -datengateway einer bestimmten Kundschaft nicht von einer anderen in Power Platform verwendet wird?
Die Unterstützung für Virtual Network für Power Platform verwendet die Azure-Subnetzdelegierung.
Jede Power Platform-Umgebung ist mit einem virtuellen Netzwerksubnetz verknüpft. Nur Aufrufe aus dieser Umgebung dürfen auf dieses virtuelle Netzwerk zugreifen.
Mit der Delegierung können Sie ein bestimmtes Subnetz für einen Azure-Platform as a Service(PaaS)-Dienst festlegen, der in Ihr virtuelles Netzwerk eingefügt werden muss.
Unterstützt Virtual Network das Power Platform-Unterstützungs-Failover?
Ja, Sie müssen während der Einrichtung ein primäres und ein virtuelles Failover-Netzwerk und ebensolche Subnetze delegieren.
Wie kann eine Power Platform-Umgebung in einer Region eine Verbindung zu Ressourcen herstellen, die in einer anderen Region gehostet werden?
Ein mit einer Power Platform-Umgebung verknüpftes virtuelles Netzwerk muss sich in der Region der Power Platform-Umgebung befinden. Wenn das virtuelle Netzwerk sich in einer anderen Region befindet, erstellen Sie ein virtuelles Netzwerk in der Region der Power Platform-Umgebung und verwenden Sie das Peering virtueller Netzwerke, um die beiden Regionen zu überbrücken.
Kann ich den ausgehenden Datenverkehr von delegierten Subnetzen überwachen?
Ja Sie können Netzwerksicherheitsgruppen und Firewalls verwenden, um den ausgehenden Datenverkehr von delegierten Subnetzen zu überwachen.
Wie viele IP-Adressen benötigt Power Platform im Subnetz für die Delegierung?
Sie müssen mindestens 24 CIDR (klassenloses domänenübergreifendes Routing) oder 255 IPAdressen im Subnetz delegieren. Wenn Sie dasselbe Subnetz an mehrere Umgebungen delegieren möchten, müssen Sie möglicherweise mehr IP-Adressen in diesem Subnetz bereitstellen.
Kann ich internetgebundene Anrufe von Plug-Ins oder Konnektoren aus tätigen, nachdem meine Umgebung an das Subnetz delegiert wurde?
Ja Sie können von Plug-Ins oder Connectors aus internetgebundene Anrufe tätigen, das Subnetz muss jedoch mit einem Azure NAT-Gateway konfiguriert sein.
Kann ich den Subnetz-IP-Adressbereich aktualisieren, nachdem er an „Microsoft.PowerPlatform/enterprisePolicies“ delegiert wurde?
Nein. Sie können den IP-Adressbereich des Subnetzes nicht mehr ändern, nachdem er an „Microsoft.PowerPlatform/enterprisePolicies“ delegiert wurde.
In meinem virtuellen Netzwerk ist ein benutzerdefiniertes DNS konfiguriert. Verwendet Power Platform mein benutzerdefiniertes DNS?
Ja Power Platform verwendet das benutzerdefinierte DNS, das im virtuellen Netzwerk konfiguriert ist, welches das delegierte Subnetz enthält, um alle Endpunkte aufzulösen. Nachdem die Umgebung delegiert ist, können Sie die Plug-Ins aktualisieren, um den richtigen Endpunkt zu verwenden, damit Ihr benutzerdefiniertes DNS ihn auflösen kann.
Meine Umgebung verfügt über vom ISV bereitgestellte Plug-Ins. Würden diese Plug-Ins im delegierten Subnetz ausgeführt werden?
Ja Alle Kunden-Plug-Ins und ISV-Plug-Ins können über Ihr Subnetz ausgeführt werden. Wenn die ISV-Plug-Ins über eine Ausgangskonnektivität verfügen, müssen diese URLs möglicherweise in Ihrer Firewall aufgeführt sein.
Meine lokalen Endpunkt-TLS-Zertifikate sind nicht von bekannten Stammzertifizierungsstellen (ZS) signiert. Unterstützen Sie unbekannte Zertifikate?
Nein. Wir müssen sicherstellen, dass der Endpunkt ein TLS-Zertifikat mit der vollständigen Kette vorlegt. Ihre benutzerdefinierte Stammzertifizierungsstelle kann nicht zu unserer Liste bekannter Zertifizierungsstellen hinzugefügt werden.
Welche Einrichtung wird für ein virtuelles Netzwerks innerhalb eines Kundenmandanten empfohlen?
Wir empfehlen keine bestimmte Topologie. Unsere Kundschaft nutzt jedoch häufig das Netzwerkmodell der Hub-and-Spoke-Topologie.
Ist die Verknüpfung eines Azure-Abonnements mit meinem Power Platform-Mandanten erforderlich, um Virtual Network zu aktivieren?
Ja, um die Virtual Network-Unterstützung für Power Platform-Umgebungen zu aktivieren, muss dem Power Platform-Mandanten ein Azure-Abonnement zugeordnet sein.
Wie nutzt Power Platform die Azure-Subnetzdelegierung?
Wenn einer Power Platform-Umgebung ein delegiertes Azure-Subnetz zugewiesen ist, wird die Azure Virtual Network-Injektion verwendet, um den Container zur Laufzeit in ein delegiertes Subnetz zu injizieren. Während dieses Vorgangs wird einer Netzwerkschnittstellenkarte (NIC) des Containers eine IP-Adresse aus dem delegierten Subnetz zugewiesen. Die Kommunikation zwischen dem Host (Power Platform) und dem Container erfolgt über einen lokalen Port auf dem Container, und der Datenverkehr fließt über Azure Fabric.
Kann ich ein vorhandenes virtuelles Netzwerk für Power Platform verwenden?
Ja, Sie können ein vorhandenes virtuelles Netzwerk für Power Platform verwenden, vorausgesetzt, ein einzelnes, neues Subnetz innerhalb des virtuellen Netzwerks wird spezifisch an Power Platform delegiert. Dabei ist zu beachten, dass dieses delegierte Subnetz keine anderen Dienste hosten sollte.
Kann ich USA, Osten 2 als Failover verwenden, wenn sich meine Power Platform-Umgebung in Kanada befindet?
Um ein ordnungsgemäßes Failover sicherzustellen, müssen die primären Subnetze und die Failover-Subnetze in canadacentral bzw. canadaeast bereitgestellt werden. Erstellen Sie für ein wirksames Failover das primäre Subnetz in der Region canadacentral und das Failover-Subnetz in der Region canadaeast. Richten Sie außerdem ein Peering virtueller Netzwerke zwischen dem primären virtuellen Netzwerk und dem Failover-Netzwerk ein, einschließlich des virtuellen Netzwerks in der Region useast2 für die Konnektivität.
Was ist ein Dataverse-Plug-In?
Ein Dataverse-Plug-In ist ein benutzerdefinierter Code, der in einer Power Platform-Umgebung bereitgestellt werden kann. Dieses Plug-In kann so konfiguriert werden, dass es bei Ereignissen (z. B. einer Datenänderung) ausgeführt oder als benutzerdefinierte API ausgelöst wird. Weitere Informationen: Dataverse-Plug-Ins
Wie wird ein Dataverse-Plug-In ausgeführt?
Ein Dataverse-Plug-In wird innerhalb eines Containers ausgeführt. Wenn einer Power Platform-Umgebung ein delegiertes Subnetz zugewiesen wird, wird der Netzwerkschnittstellenkarte (NIC) des Containers eine IP-Adresse aus dem Adressraum dieses Subnetzes zugewiesen. Die Kommunikation zwischen dem Host (Power Platform) und dem Container erfolgt über einen lokalen Port auf dem Container. Der Datenverkehr fließt über Azure Fabric.
Können mehrere Plug-Ins im selben Container ausgeführt werden?
Ja In einer bestimmten Power Platform- oder Dataverse-Umgebung können mehrere Plug-Ins im selben Container ausgeführt werden. Jeder Container benutzt eine IP-Adresse aus dem Subnetzadressraum. Jeder Container kann mehrere Anfragen ausführen.
Wie bewältigt die Infrastruktur eine Zunahme gleichzeitiger Plug-In-Ausführungen?
Wenn die Anzahl gleichzeitiger Plug-In-Ausführungen zunimmt, wird die Infrastruktur automatisch nach oben oder unten skaliert, um der Auslastung gerecht zu werden. Das an eine Power Platform-Umgebung delegierte Subnetz sollte über genügend Adressräume verfügen, um das Spitzenvolumen an Ausführungen für die Workloads in dieser Power Platform-Umgebung bewältigen zu können.
Wer kontrolliert das virtuelle Netzwerk und die damit verbundenen Netzwerkrichtlinien?
Als Kunde sind Sie der Besitzer des virtuellen Netzwerks und kontrollieren dieses und die dazugehörigen Netzwerkrichtlinien. Power Platform wiederum verwendet die zugewiesenen IP-Adressen aus dem delegierten Subnetz innerhalb dieses virtuellen Netzwerks.
Wie konfiguriere ich die Virtual Network-Unterstützung für Power Platform in Dev/Test-Umgebungen, ohne zwei separate virtuelle Netzwerke in unterschiedlichen Azure-Regionen zu verwenden?
Um ein ordnungsgemäßes Failover sicherzustellen, sind für Produktionsworkloads in jeder Ihrer primären und sekundären Azure-Regionen ein virtuelles Netzwerk und ein dediziertes Subnetz erforderlich. Für Entwicklungs-/Testumgebungen empfehlen wir jedoch ein einzelnes virtuelles Netzwerk zusammen mit zwei dedizierten Subnetzen für Power Platform.
Unterstützen Azure-fähige Plug-Ins virtuelle Netzwerke?
Nein, Azure-fähige Plug-Ins unterstützen kein virtuelles Netzwerk.
Nächste Schritte,
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für